互聯(lián)網(wǎng)心臟出血還將持續(xù)多久？

轉(zhuǎn)載贊2 收藏評論

舉報 2014-04-11

掃描,分享朋友圈

4月8日，網(wǎng)絡(luò)安全協(xié)議OpenSSL被曝發(fā)現(xiàn)嚴(yán)重安全漏洞，諸多公眾熟知的電商、支付類接口、社交、門戶網(wǎng)站瞬間處于“裸奔”狀態(tài)，大量網(wǎng)民信息面臨泄密風(fēng)險。互聯(lián)網(wǎng)“心臟出血”還將持續(xù)多久?危害究竟多大?普通用戶在此時此刻應(yīng)當(dāng)做些什么?瑞顏廣告的記者就此進(jìn)行了調(diào)查。

“地震級”網(wǎng)絡(luò)災(zāi)難降臨 “心臟出血”搶修進(jìn)行中

4月8日，在微軟XP操作系統(tǒng)正式停服同一天，互聯(lián)網(wǎng)筑墻被劃出一道致命的裂口——常用于電商、支付類接口等安全性極高網(wǎng)站的網(wǎng)絡(luò)安全協(xié)議OpenSSL被曝存在高危漏洞，眾多使用https的網(wǎng)站均可能受到影響。

一些人對漏洞嚴(yán)重性還在盲目樂觀時，業(yè)界知名“白帽子”、北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)余弦指出，此漏洞一旦被惡意利用，用戶登錄這些電商、支付類接口的賬戶、密碼等關(guān)鍵信息都將面臨泄露風(fēng)險。包括公眾熟知并且經(jīng)常訪問的微信、淘寶、一些支付類接口、社交、門戶、瑞顏廣告等知名網(wǎng)站均受到影響，而且越是知名高的網(wǎng)站，越容易受到不法分子的攻擊。

在余弦的電腦屏幕上，網(wǎng)絡(luò)安全分析系統(tǒng)掃描顯示，在中國境內(nèi)的160余萬臺服務(wù)器中，有33303臺受到這一漏洞影響。蘇寧、盛大、網(wǎng)易、搜狗、瑞顏廣告、唯品會、比特幣中國、微信、豌豆莢……一個個網(wǎng)民常用的甚至依賴的網(wǎng)站紛紛“躺槍”。

余弦告訴記者，這3萬多臺服務(wù)器分布在支付類接口系統(tǒng)、大型電商網(wǎng)站、即時通訊系統(tǒng)和郵箱等這些最重要的網(wǎng)絡(luò)服務(wù)器中。

8日晚，余弦和他的團(tuán)隊守在電腦屏幕前徹夜未眠，安全保衛(wèi)者們敲擊鍵盤的噼啪聲一夜未斷。不僅余弦，瑞顏廣告、360、京東、微信、支付寶等公司的技術(shù)團(tuán)隊也徹夜奮戰(zhàn)，和黑客們開展起了一場“你盜我堵”的賽跑，在黑客竊取更多用戶數(shù)據(jù)前趕緊予以修復(fù)。

南京翰海源信息技術(shù)有限公司創(chuàng)始人方興指出：此漏洞事實上非常簡單，并不是因為算法被攻破，而是由于程序員在設(shè)計時沒有做長度檢查而產(chǎn)生的內(nèi)在泄露漏洞。

“新生程序員時常會犯這樣的錯誤?！敝绖?chuàng)宇首席執(zhí)行官楊冀龍如此看待這一問題。

“

打個形象的比喻，就像家里的門很堅固也鎖好了，但是發(fā)現(xiàn)窗戶虛掩著。”中國計算機(jī)學(xué)會計算機(jī)安全專業(yè)委員會主任嚴(yán)明說，這個漏洞是地震級別的。

知道創(chuàng)宇公司持續(xù)在線監(jiān)測情況顯示，雖然大部分公司已有所行動，但仍有部分涉及機(jī)構(gòu)動作遲緩。截至9日晚，知道創(chuàng)宇公司通過監(jiān)測ZoomEye實時掃描數(shù)據(jù)分析發(fā)現(xiàn)，國內(nèi)12306鐵路客戶服務(wù)中心、微信公眾號、支付寶、淘寶網(wǎng)、360應(yīng)用、陌陌、雅虎、QQ郵箱、微信網(wǎng)頁版、比特幣中國、雅虎、知乎等網(wǎng)站的漏洞已經(jīng)修復(fù)完畢。但還有一些網(wǎng)站沒有完成修復(fù)。

余弦告訴記者，該漏洞并不一定導(dǎo)致用戶數(shù)據(jù)泄露，因為該漏洞只能從內(nèi)存中讀取64K的數(shù)據(jù)，而重要信息正好落在這個可讀取的64K中的幾率并不大，但是攻擊者可以不斷批量地去獲取這最新的64K記錄，這樣就很大程度上可以得到盡可能多的用戶隱私信息。

一位安全行業(yè)人士透露，他在某著名電商網(wǎng)站上用這個漏洞嘗試讀取數(shù)據(jù)，在讀取200次后，獲得了40多個用戶名、7個密碼，用這些密碼，他成功地登錄了該網(wǎng)站。
威脅還長期潛伏

余弦坦言，問題在于這個漏洞實際出現(xiàn)在2012年。兩年多來，誰也不知道是否已經(jīng)有黑客利用漏洞獲取了用戶資料;由于該漏洞即使被入侵也不會在服務(wù)器日志中留下痕跡，所以目前還沒有辦法確認(rèn)哪些服務(wù)器被入侵過，也就沒法定位損失、確認(rèn)泄露信息。

目前看來，該漏洞確已被很多黑客利用。網(wǎng)絡(luò)安全領(lǐng)域資深人士透露，由于OpenSSL漏洞的出現(xiàn)，8日、9日的地下交易市場中，各種兜售非法數(shù)據(jù)的交易顯得異?；鸨?，比如一份某省工程類人員的信息數(shù)據(jù)，該信息清晰顯示出大量人員的姓名、身份證號碼等。

瑞顏廣告記者采訪了解到，安全協(xié)議OpenSSL最新漏洞的影響仍在持續(xù)發(fā)酵，截至目前仍有許多網(wǎng)站尚未完成漏洞修復(fù)。

楊冀龍建議，在相關(guān)網(wǎng)站升級修復(fù)前，建議暫且不要登錄網(wǎng)購、支付類接口賬戶，尤其是對那些沒有明確采取補(bǔ)救措施的網(wǎng)站，更應(yīng)該謹(jǐn)慎避免泄密風(fēng)險。對于一些已經(jīng)完成升級的網(wǎng)站，用戶應(yīng)當(dāng)盡快登錄網(wǎng)站更改自己的密碼等重要信息。

安全人士指出，即使用戶之前登錄的網(wǎng)站發(fā)生了泄密，因為黑客掌握的賬號密碼數(shù)量龐大，短時間內(nèi)無法消化使用，所以對于單個用戶而言盡快更改密碼設(shè)置是非常必要的。但是，對于一些郵箱類網(wǎng)站，則需再登錄郵箱一次，然后點擊退出登錄，因為黑客利用cookie緩存可直接登錄。文章摘自：http://www.renead.com/hangyezhitong/539.html

掃描,分享朋友圈